这一年来,台湾上市柜公司因应证券交易所与柜买中心的要求,若遭骇客网路攻击,需发布重大讯息揭露,缺乏资安事件的应变能力?TWCERT/CC提供简易指南
由于企业与组织资安事故频传,但大多都尚未建立资安事件应变机制,我们该怎么做?是否有参考的资源? 台湾电脑网路危机处理暨协调中心(TWCERT/CC),在半年多前已有这方面的行动,在2023年6月,他们发布《(一)在事前准备阶段,有8个重要工作,包括:资安工具准备、资安事件分类分级、订定资安事件纪录表、资通系统分级、设立专责资安联络人员、规划专业资安教育训练、规划资安健检、建立情资交换与通报管道。 在此当中,关于资安事件分类分级,就是为了区分事件严重性,并建议依组织业务营运状况画分为1到4级。原则上,1级资安事件是指影响部分资讯设备,组织仍然可以持续营运,2级资安事件是非核心业务受影响、组织仍可持续营运,这两种影响较轻微;3级事件是部分核心业务受影响,4级事件组织核心业务停摆。基本上,越严重的事件,处理速度其实也必须更快。 还有资安工具的准备,当中列出5种类型工具,包括: 有了这些备妥的工具,一旦事件发生时,就能快速派上用场,减少因应时间的耽搁。 (二)在事中准备的阶段,有4项重要工作,资安事件侦测与分析、保存数位证据、资安事件应变与处理,以及通知利害关系人。 这里要提醒的是最后一点,企业在对外沟通上,其实有很多关系人需要联系,包含:客户、系统使用者、上下游供应商、主管机关等,说明面临的资安事件类型,以及处理的进度、影响的范围与结果。 (三)在事后改善的阶段,有5个面向需要顾及,包括:检讨目前的资安管理制度是否需调整,事件处理程序是否合宜,资安事件情资分享,检视其他主机、系统、设备是否有同样的弱点,以及检讨防护设备或防护管理是否足够。 这里特别要提最后两点,毕竟每次事件都是宝贵的经验,除了针对这次事件的问题进行改善,企业也要进一步思考,组织内部其他主机、系统、设备是否有同样的弱点,以及环境中是否有更多应设定但未设定的组态,进而采取行动、逐一检视。换言之,这些动作,也将回馈到资安防护规画上的资安策略制定、资安风险评估与管理等。 综观上述3大阶段,虽然这里的内容算是简单扼要,但对于还没头绪的企业来说,将可快速了解资安应变要做的事,不只是「事中」与「事后」的行动要点,也涵盖「事前」的准备,让还没有概念的企业,至少可以知道规画方向,而且这些都是中文的内容。 但也要提醒大家的是,这些指引虽提供基本的参考方向,但各家公司的组织架构有别,状况都不一样,因此仍需要企业依自身需求设计与落实。 此外,在最近这一两年来,金管会与证交所在阐述上市柜公司资安措施政策时,持续推动上市柜公司共享资安情资,加入TWCERT/CC的平台,除了期盼促进最新威胁情资的交流,应也希望让相关经验可以成为教训。 值得一提的是,国际间也有相关资源可以参考。以准备阶段为例,有5大步骤,包括:对组织进行关键性的评估,实施资安威胁的分析并且搭配情境的模拟与演练,从人员、流程、技术与资讯的层面来考量影响,建立适当的控制框架,以及检视资安事件应变的准备状态。 这里要特别注意的是,第一阶段「准备」至关重要,但容易被大家忽视,原因是企业缺乏这方面意识、支持或资源。 整体而言,企业在进行资安事件应变时,应该要了解到:在资安事件发生之前,就要超前部署、预先做好整体规画。 除了CREST安全事件应变流程框架,我们还可以在资安领域找到更多参考资源,例如:SANS提出的事件回应6大步骤(Incident Handler’s Handbook),以及NIST提出的电脑事件安全处理指南(SP 800-61 Rev. 2)。 企业也可以参考NIST的网路安全框架(CSF),因为涵盖网路安全风险管理生命周期,事件应变也是其中的一部分。 例如,在NIST CSF的「识别」方面就指出,要有资安事件应变计划;在「侦测」方面,也是支持事故应变与复原活动的成功关键,企业与组织才能及早看到攻击迹象,降低资安事件所带来的影响,而且,上述的工作都与事前的准备有关。 在NIST CSF的「回应」、「复原」方面,包含了事件管理、事件分析、事件回应通报与沟通、事件缓解,以及事件复原计划执行、事件复原沟通,这些动作也对应到前面提到的事中应变。至于事后的改进,也将会涉及「防护」、「治理」的面向。 总体而言,大家对于火灾等公安事故,许多企业都有制定紧急灾害应变措施计划,甚至定期进行演练,面对资安事故也应如此,需要有应变措施。 毕竟从上述现况来看,很多企业到现在还没有这方面准备,面对网路攻击事件接连发生的态势,企业必须要有足够的应变作为准备。 放眼全球,没有企业敢担保不发生资安事件,有许多公司都会主动坦承,我们也常看到国外媒体报导,但很少见到国内企业将内部的资安事件调查报告公开,示警其他企业注意同样的威胁。 趋势趋势科技台湾区暨香港区总经理洪伟淦认为,若发现是新的零时差漏洞攻击,导致各界可能曝险,以该公司协助处理的状况而言,他们会在不透露客户的情形下,向外界示警新威胁出现。 但是,今日很多企业遭遇的网路攻击,其实绝大多数都是资讯安全管理疏漏造成,并不是什么新的威胁出现。 而且,在这些资安事件揭露的当下,其实企业无法在很短时间内就完成事故调查,就另一方面而言,即便找出根因、弱点,但企业也不见得很快就能投入修补。 换言之,如果太早公布事件的问题症结点,反而造成更大的曝险。因此,如果不是本次攻击事件的主要成因,对外不见得要揭露太多,而且,若牵涉网路架构设计上的问题,所需要的改善时间,可能长达一两年。 多家上市柜公司遭网路攻击,需赶紧依照规定发布重大讯息,向外界揭露事件的发生,但往往所能公开的资讯相当有限,企业是否有更好的揭露作法? 其实有少数受害公司,后续会发布新的重讯,说明最新的处理或调查情形。我们认为,这的确是不错的方式,可让外界更清楚因应情形。 以上柜公司大拓-KY为例,该公司曾在2022年代子公司发布重大讯息,虽然内容不多,但其实在日本大拓公司官方网站,公布了更多资讯。例如,事故发生当日就有事故公告,相隔10天之后,他们再度揭露资安事件调查结果,说明事发时间及确认是遭勒索软体攻击。在事故30天后,该公司又发布第二版调查报告。 另一个例子是2023年初华航针对媒体报导资料外泄事件发布重讯,一个月后再发新的重讯,公布后续调查结果,说明查出委外电商平台系统连线异常,并公布确切影响范围,有5千多笔会员资料遭撷取。 2024年2月建准的重讯也是如此,而且是相隔一周后就有事件后续说明,指出部分技术人员电脑的部分重要档案被加密攻击,无法解密,且该部分资料恐有外泄疑虑。
●网路检测:Angry IP Scanner、Nmap、Snort、TCPView、Wireshark。
●档案检测:Msert、PE Studio、VirusCheck、VirusTotal。
●系统检测:Autoruns、Eventvwr、ProcessExplorer、Regedit。
●记忆体取证:FTK Imager、Volatility。
●弱点扫描:Nessus、OpenVas。还可参考国际上的资安事件应变框架,提升应变策略
企业为何难揭露资安事件细节
对单一事故发多次重讯,展现透明度与诚意